Yandex salah satu peramban terbesar di Rusia belakangan menjadi sorotan, selain sebagai mesin pencari internet, mereka juga memiliki Yandex.Direct yang menjadi jaringan iklan online-nya. Jaringan periklanan online tersebut yang kemudian diketahui dimanfaatkan oleh kelompok penjahat siber untuk memposting iklan berbahaya.
Kelompok siber menggunakan dua backdoor terkenal yakni Buhtrap dan RTM begitu juga dengan ransomware dan pencuri uang digital (cryptocurrecy). Aktivitas ilegal sudah berjalan selama beberapa bulan terakhir. ESET sudah menginformasikan adanya penyusupan dalam jaringan iklan Yandex yang dengan cepat direspon dengan menghapus operasi malvertising itu.
Sementara source code backdoor Buhtrap telah bocor di masa lalu dan dengan demikian dapat digunakan oleh siapa saja, tapi tidak dengan RTM.
Mekanisme serangan.
ESET mempelajari dengan cermat aktivitas yang dilakukan oleh kelompok penjahat siber yang menyebar backdoor dan malware berbahaya. Trik mereka sama persis seperti apa yang dilakukan di masa lalu saat menggunakan Buhtrap dan RTM dengan menargetkan departemen akuntansi sebagai sasaran tembaknya.
Mereka melancarkan operasi malvertising dengan memasang banner iklan di forum akuntansi yang sah. Banner yang dipasang disebar di beberapa situs yang berbeda namun memiliki kesamaan, yaitu id kampanye yang serupa (blanki_rsya) dan sebagian besar terkait dengan jasa akuntansi atau bantuan hukum, menjadi bukti dan memperkuat hipotesis ESET bahwa departemen akuntansi memang diincar.
Caranya, mereka menjebak dengan mengarahkan korban ke situs web, di mana mereka menggunakan perangkat lunak palsu yang jika diterjemahkan menjadi “Collection of Templates 2018: forms, templates, contracts, samples”.
Para korban yang terpikat untuk mengunduh file-file berbahaya akan dibawa menuju situs web, blanki-shabloni24 [.] Ru, yang menjadi sarana penyebaran malware berbahaya yang diiklankan melalui jaringan periklanan Yandex. Begitu korban mengunduh perangkat lunak yang dimaksud, saat itu mereka sudah menjadi korban yang selanjutnya siap dieksploitasi.
Komponen Serangan
Melihat sejarah GitHub pada repositori, ESET bisa mengetahui bahwa operasi penyebaran malware melalui malvertising dimulai pada akhir Oktober 2018. ESET juga telah mengamati adanya enam keluarga malware yang berbeda di-host Github selama periode ini. Hal yang sama terkait kapan banner iklan terlihat juga diperoleh dari hasil mengamati repositori Github.
Ke enam komponen keluarga malware yang digunakan oleh kelompok penjahat siber yang disebarkan melalui kampanye malvertising yang juga dapat dideteksi oleh ESET adalah sebagai berikut:
Win32/Filecoder.Buhtrap
Didistribusikan selama bulan Februari dan Maret 2019, yang mengimplementasikan perilaku ransomware menemukan drive lokal dan berbagi jaringan dan mengenkripsi file yang ditemukan pada perangkat ini. Ia tidak memerlukan koneksi internet untuk mengenkripsi file korbannya, karena tidak berkomunikasi dengan server untuk mengirim kunci enkripsi. Sebaliknya, ia menambahkan “token” di akhir pesan tebusan dan menuntut agar para korban berkomunikasi dengan operator melalui email atau Bitmessage.
Untuk mengenkripsi sebanyak mungkin sumber daya penting, Filecoder.Buhtrap memulai utas yang didedikasikan untuk membunuh perangkat lunak utama yang mungkin memiliki pegangan terbuka pada file yang berisi data berharga, sehingga mencegahnya dienkripsi. Proses yang ditargetkan terutama adalah sistem manajemen basis data (DBMS). Selanjutnya, Filecoder.Buhtrap menghapus file log dan cadangan, untuk mempersulit korban tanpa cadangan data offline untuk memulihkan file mereka.
Win32/ClipBanker
adalah komponen yang didistribusikan sebentar-sebentar dari akhir Oktober hingga awal Desember 2018. Perannya adalah memantau konten clipboard, mencari alamat cryptocurrency. Jika alamat cryptocurrency yang ditargetkan ditemukan, ia digantikan oleh alamat yang mungkin milik operator malware.
Sampel yang ESET lihat tidak dikemas, atau dikaburkan. Satu-satunya mekanisme yang digunakan untuk menyembunyikan perilakunya adalah enkripsi string. Alamat cryptocurrency operator dienkripsi menggunakan RC4. Berbagai cryptocurrency ditargetkan seperti Bitcoin, uang tunai Bitcoin, Dogecoin, Ethereum dan Ripple.
Win32/RTM
Komponen yang didistribusikan selama beberapa hari pada awal Maret 2019. RTM adalah trojan perbankan yang ditulis dalam Delphi yang menargetkan sistem perbankan jarak jauh. Kembali pada tahun 2017, para peneliti ESET menerbitkan studi penelitian yang berisi analisis ekstensif malware ini. Karena sedikit yang telah berubah sejak saat itu.
Buhtrap downloader
Komponen ini didistribusikan dalam periode waktu yang singkat. Paket tersedia di GitHub yang merupakan pengunduh yang tidak memiliki kemiripan dengan perkakas Buhtrap sebelumnya. ESET mengidentifikasi dua perilaku berbeda untuk kode tahap kedua ini. Dalam satu, URL RSS.php langsung melayani backdoor Buhtrap. Backdoor ini sangat mirip dengan source code yang bocor. Yang menarik di sini adalah bahwa kita melihat beberapa kampanye yang berbeda menggunakan backdoor Buhtrap, mungkin berasal dari aktor yang berbeda.
Android/Spy.Banker
Menariknya, komponen Android juga ditemukan di repositori GitHub, yang hanya ada di master branch selama satu hari pada tanggal 1 November 2018. Terlepas dari fakta yang di-host di GitHub pada hari itu, telemetri ESET tidak menunjukkan bukti distribusi aktif malware ini.
Komponen Android di-host di GitHub sebagai Android Application Package (APK). Ini sangat dikaburkan. Perilaku jahat disembunyikan di JAR terenkripsi yang terletak di APK. Yang dienkripsi dengan RC4. Setelah ESET mendekripsi file, menjadi jelas bahwa itu adalah Anubis, Android Banker yang sudah didokumentasikan. Malware ini memiliki kemampuan sebagai berikut:
- Rekam mikrofon
- Mengambil screenshot
- Dapatkan posisi GPS
- Log penekanan tombol
- Enkripsi data perangkat dan minta tebusan
- Kirim spam
- Server C&C adalah:
sositehuypidarasi [.] Com
ktosdelaetskrintotpidor [.] Com
Menariknya, mereka menggunakan Twitter sebagai saluran komunikasi untuk menarik server C&C lain. Akun Twitter yang digunakan oleh sampel yang ESET analisis adalah @JohnesTrader, tetapi akun ini sudah ditangguhkan pada saat analisis.
Malware
berisi daftar aplikasi yang ditargetkan pada perangkat Android.
Daftar ini tampaknya lebih panjang dari apa yang ditemukan
ketika para peneliti Sophos menganalisisnya. Mereka
menargetkan banyak aplikasi perbankan untuk bank-bank dari seluruh
dunia, beberapa aplikasi e-shopping seperti Amazon dan eBay dan
aplikasi cryptocurrency.
MSIL/ClipBanker.IH
Komponen terbaru yang didistribusikan selama kampanye dalam .NET Windows executable adalah pada Maret 2019. Sebagian besar versi yang ESET lihat dikemas dengan ConfuserEx v1.0.0. Seperti halnya varian ClipBanker yang dijelaskan di atas, komponen ini juga membajak clipboard. Menargetkan berbagai cryptocurrency serta penawaran perdagangan Steam. Selain itu, ia menggunakan layanan IP Logger untuk mengekstrak kunci pribadi WIF Bitcoin.
Selain mendapat manfaat dari mekanisme anti-debugging, anti-dumping,
dan anti-perusak ConfuserEx, malware ini menerapkan rutinitas deteksi
untuk produk keamanan dan mesin virtual.
Untuk memeriksa apakah
berjalan di mesin virtual, ia menggunakan WMI command-line (WMIC)
bawaan Windows untuk menanyakan informasi tentang BIOS.
Lebih lanjut, malware memeriksa apakah CryptoClipWatcher, alat defensif yang dirancang untuk melindungi pengguna dari pembajakan clipboard sedang berjalan dan jika memang demikian, ia menangguhkan semua utas proses ini, dengan menonaktifkan perlindungan. Seperti halnya dengan ClipBanker sebelumnya yang ESET analisis, malware .NET ini memantau konten clipboard, mencari alamat cryptocurrency dan jika ada yang ditemukan, ia diganti dengan salah satu alamat operator.
Deskripsi akhir
Kampanye ini menjadi contoh yang baik tentang bagaimana layanan iklan yang sah dapat disalahgunakan untuk mendistribusikan malware. Meskipun kampanye ini secara khusus menargetkan organisasi Rusia, ESET tidak akan terkejut jika skema seperti itu digunakan untuk menyalahgunakan layanan iklan non-Rusia. Untuk menghindari tertangkap oleh penipuan semacam itu, pengguna harus selalu memastikan dari mana sumber mereka mengunduh perangkat lunak, dan mengetahui dengan jelas bahwa perangkat lunak berasal dari distributor perangkat lunak yang terkenal dan bereputasi baik.
